Twitter上周受到XSS 蠕虫攻击-前英国首相的夫人Sarah Brown的页面被导向日本**网站

上周，2010.9.22, Twitter站点受到了XSS(cross-site-scripting)蠕虫攻击，几千个用户受到影响，其中包括前英国首相的夫人Sarah Brown,这位有上百万follower的名人的Twitter页面被导向了一个日本**页面！

该攻击的详情可查看http://www.hetaoblog.com/twitter-xss-worm/

关于布朗夫人的截图可查看
（http://www.sophos.com/blogs/gc/g/2010/09/21/twitter-onmouseover-security-flaw-widely-exploited/)

当时的漏洞是当用户仅仅将鼠标放在一个链接上的时候，即使用户没有做点击，Twitter也会显示任何第三方文字或者在浏览器中打开站点。

基本情况是这样的

1.RainbowTwtr’的用户在Twitter上利用css注入显示了彩虹，

2.zzap用户发现这个后，意识到可以利用类似的技术在onmouseover事件上注入任意的javascript让其他用户执行，所以，当 zzap将js注入到任何一个链接上，然后其他用户将鼠标放到这个链接上触发onmouseover事件的时候，zzap注入的js就被其他用户执行了

3.此时一些用户开始利用该漏洞来注入一些其他js，同时zzap还发现该漏洞可以用来盗取其他用户的cookies和账号信息

4. 随后，大家发现twitter上被注入了相当的onmouseover,

相关报道和说明：

http://www.pcworld.com/article/205961/twitter_worm_timeline_exploit_erased_early_damage_minimized.html?tk=hp_new

http://news.yahoo.com/s/pcworld/20100922/tc_pcworld/twitterxsswormholdslessonsforit

http://arstechnica.com/security/news/2010/09/twitter-worms-spread-quickly-thanks-to-blatant-security-flaw.ars

http://news.netcraft.com/archives/2010/09/21/twitter-users-fall-victim-to-new-xss-worm.html